blackint3 / openark Goto Github PK

1.1和1.2版本都是如此

最新的1.2 无法进入内核模式

你好！
我希望这个工具能够能够在未来有这个功能，因为这个功能可以帮助到受到恶意程序感染的人能够把系统内的状态生成一个报告给到能够帮助它清除恶意程序的人那边来分析并制定出一个清除方案。
此致
敬礼。

什么时候加上查看内核钩子的功能呀，也许是我在OpenArk里没找到这个功能

1. kernel callback 用其它工具看，是有很多，我们的OARK显示只有一条
   2.系统热键显示不对，显示有F21....F2N出现
   3.工具箱界面显示有些问题

字体很小，看着很费力，请求调整适配一下，谢谢大佬

作者可以添加一个“关闭进程中某个模块”的选项吗？

Enter KernelMode does not work on Windows 10 21H1 (OS Build 19043.1110). Clicking the button has no effect.

下载最新的Release1.0.8版本，在Win10 20H2上，Windows Security会报存在病毒。上一版本就不存在这个问题

作者你好，能不能把内核-系统热键功能单独编译一个exe，打开自动尝试进入内核模式，其他功能不要，你带上作者信息和自己的GitHub链接，我发布到一个论坛里，有部分用户只需要查看热键的功能的，非常感谢！

逆向工具下载工具报下载失败 cod301

點擊[進入內核模式]，無效。

之前移动过工具目录里的工具文件夹，后来想下载其他工具就出现如上图所示错误

添加Nuget包仓库
http://nuget.blackint3.com:20001/api/odata
这个 地址 我这边 不论是否翻墙 都无法连接。

想确认下找个nuget源 是否还生效。

系统版本是20H2

1.0.6版本还可以成功删除热键的，但1.0.8版本就不行了。

https://github.com/dnSpy/dnSpy/releases

[UNONE::FsReadFileDataW] [WARN] C:\Users\86178\AppData\Roaming\OpenArk\console\history.txt is empty file

更新成win10专业版 20H2 19042.1110后无法进入内核模式

scoop 是一款 Windows 下流行的包管理器, 现在, OpenArk 已经可以使用 scoop 安装了:

scoop install openark

ScoopInstaller/Extras#5869

内核->内存管理->内核读写

内核反汇编显示的寄存器存在x64的寄存器

我的系统是 Win10 21H2 / 19044.1320 ，在OpenArk中错误识别为 Windows 11。
这个只是显示的操作系统名称错误，似乎不影响其他功能使用。

相关代码

相关截图

点击任何一个软件，都是提示下载失败。

在4k显示器下，显示文字过小。
（即时使用win10系统自带的 系统->显示->缩放与布局 仍然不起作用）

进入内核模式一直点没用，下了最新的也没用，没装那些软件，我都退掉了也进不去，没有任何异常，只是时间会被清零，但系统自己又获取回来了，以前都能用的，不知道咋回事

放在 AppData\Roaming\OpenArk 并不方便管理

还建议工具目录可以自定义
因为大家一般都会有自己的一个文件夹，用来存放这些特殊工具，
最好是使用相对路径，这样在移动硬盘中无需重新设置

逆向工具的工具目录，能实现自己定义么

An issue on appearance, the resolution is 4k, the text and components in the app are very small, which will affect the use less (but it doesn’t matter)

一个外观方面的 issue，分辨率为 4k，应用内的文字和组件都很小，会较小地影响使用（但也无所谓）

1. 用signtool删除OpenArkDrv64.sys自带的证书被吊销的数字签名（否则即使禁用驱动强制签名也无法加载） Remove the invalid digital signature (signed by a certificate which has been revoked) of OpenArkDrv64.sys using signtool (otherwise the driver cannot be loaded even if DSE is already disabled)

signtool.exe remove /s OpenArkDrv64.sys

signtool.exe可以从Windows SDK中获取。signtool.exe can be obtained from Windows SDK.

OpenArkDrv64.sys在%temp%下可以找到。OpenArkDrv64.sys can be found at %temp%.

2. 禁用驱动强制签名 Disable DSE (Driver Signature Enforcement)

有多种方法。There're multiple ways to achieve this.

方法之一是使用EfiGuard，需要禁用SecureBoot。One of the methods is using EfiGuard, with SecureBoot disabled.

https://github.com/Mattiwatti/EfiGuard

大致步骤： Brief instructions:

(1) 挂载ESP（EFI系统分区）到S盘 Mount the ESP (EFI System Partition) to driveletter S

mountvol S: /s

(2) 把EfiGuardDxe.efi、Loader.config.efi、Loader.efi三个文件复制到S:\EFI\Boot\

copy EfiGuard-v1.2.1\EFI\Boot\*.efi S:\EFI\Boot\

(3) 用BOOTICE给Loader.config.efi添加UEFI启动项 Add Loader.config.efi to the UEFI boot sequence list using BOOTICE

可以勾选下次启动时使用该项，也可以在BIOS设置（也就是所谓的“UEFI固件设置”）的（硬盘）启动顺序里选择新加入的UEFI启动项。You can either check the "Boot this entry next time" checkbox in BOOTICE or adjust UEFI (harddrive) boot sequence in the BIOS settings (so-called "UEFI firmware settings") .

(4) 别忘了禁用安全启动。Don't forget to disable SecureBoot.

在F8启动菜单里选择禁用驱动强制签名应该也可以，但我没试过。而且桌面版Windows的F8从Win8开始就被微软干掉了，想重新开启F8菜单需要bcdedit /set {default} bootmenupolicy legacy（bootmenupolicy默认是standard）Choosing "Disable driver signature enforcement" in the F8 boot menu should work as well, but I haven't tested this method. Also, F8 boot menu of desktop versions of Windows has been crippled by Microsoft since Win8, you can re-enable it by bcdedit /set {default} bootmenupolicy legacy (if you want to revert to the default, change bootmenupolicy value from "legacy" to "standard")

3. 手动加载驱动 Load the driver manually

先把已被去除数字签名的OpenArkDrv64.sys复制到%windir%\system32\drivers\ First, copy OpenArkDrv64.sys (which already has its signature removed) to %windir%\system32\drivers\

然后删除服务（如果存在） Then delete the service (if exists)

sc delete OpenArkDrv64

然后创建服务 Then create the service

sc create OpenArkDrv64 binpath= \Windows\system32\drivers\OpenArkDrv64.sys type= kernel start= demand

最后启动服务 Then start the service

sc start OpenArkDrv64

[UNONE::FsReadFileDataW] [WARN] C:\Users\doit\AppData\Roaming\OpenArk\console\history.txt is empty file
[OpenArk::onActionCheckUpdate] [INFO] requset server:http://upt.blackint3.com/openark/version.txt
[OpenArk::onActionCheckUpdate::::operator ()] [ERR] request http.err:0, net.err:1
[OpenArk::onActionCheckUpdate] [INFO] requset server:http://upt.blackint3.com/openark/version.txt
[OpenArk::onActionCheckUpdate::::operator ()] [ERR] request http.err:0, net.err:1

无法解析upt.blackint3.com，导致工具无法安装

您好，我删除了被 系统占用看快捷键 win+ctrl+q ，然后就可以设置为自己想要的程序的热键。
但是重启后又被占用了。 程序的快捷键就失效了。

内核模式删除上面的快捷键，我的snipaste就可以使用这个快捷键了
然后等我重启，又被explorer占用，然后snipaste就失效了

很喜欢系统热键功能，也帮我解决了很多次热键冲突。
但有一次 ctrl+shift+k冲突了，在 OpenArk 中查询不出来。
无意间才发现是由于【可可五笔】导致的，但在 OpenArk 中没有显示出来。

导出到CSV后，自己设置快捷键的时候 可以避开这些热键。

搜狗输入法占用全局热键Ctrl+shift+f切换繁体与简体，在系统热键中没有显示

win10默认的简繁转换快捷键是ctrl + shift + f

工具版本

刚注意到原文提过了，close

内存查看从无模块区域和无效区域读取内存会仍显示上一次的区域

希望可以添加对代理的支持, 方便下载额外工具

作者您好，我也是相当喜欢用这个小工具，麻雀虽小，五脏俱全。
作为开发人员我很需要这个软件，但是奈何自己的技术能力不过关，不懂C++。
所以恳请作者抽空适配一下21H1，谢谢。

System Hook & etc view DPI View error?

my display 3840 x 2160 and text view size 150%

Button text is broken on 4K monitors

It should be patched to look normal on DPI

How to open hosts use other editor? VSCode or sublime..